Wordpress kasar, Wordpress güvenli değildir, Wordpress'de sadece blog yapılır!

Evet, günümüzün bilgisiz avlama cümlelerine hoş geldiniz!

Bugün kendi PHP script'ini yapıp, rakip Wordpress temalarına tükürmeye çalışan süper insanları ve onların cümlelerini ele alacağım.
Bu konuyu açmamın en büyük sebebi, satışını yaptığım Hype Sözlük WP tema müşterilerimin sıkça bu sorularla bana gelmesi. Rakip script'ler başlıyorlar viral reklama;

"yiğenim bu wordpress bak, güvenli değil bu. kasar bak bu, wordpress blog sistemleri için var dostum!"

1) Wordpress kasar mı?

Şimdi soru çok saçma, açmak gerekli. Ne şartlar altında?

Öncelikle; Wordpress bir PHP CMS'dir. 3000 küsür temel fonksiyonu vardır ve bu fonksiyonlar kodlama kalitesi olarak oldukça kalitelidirler. Bu fonksiyonlar siz çağırmadıkça yük etmezler. Ama neden sürekli bir Wordpress kasar algısı var? Sebebi ise belli; kötü yazılımcılar ve bilinçsiz son kullanıcı.

Hepimizin kabul etmesi gereken bir şey var. PHP kolaydır. Programlamaya giriş ve üretme aşaması oldukça kısa bir dildir. Ancak, uzmanlaşması da bir o kadar zor bir dildir. Wordpress ile bu kolay olan çıta çok çok daha aşağıya çekiliyor. Sebebi ise her işimize koşan WP çekirdek fonksiyonları.

SQL'den bir bilgi çektirmenin, bilgi kayıt etmenin, belli koşullara göre sıralamanın onlarca yolu vardır. Bu onlarca yoldan bir çoğu en kısa ve kolay yoldur.

Bu neyi doğurur? Skalanın bu kadar düşük olduğu bir platformda, kalitesiz temaların doğmasına yol açar. Index'e sahip olmayan tablolar, akıllıca çektirilmemiş SQL sorguları, gereksiz, ilgisiz global değerleri, saçma algoritmalar...

Ne demeye çalışıyorum? Diyorum ki, Wordpress kasmaz, kalitesiz tema kasar.

Son kullanıcı bunun neresinde? Onlarca eklentiyi kullanmaları. Gereksiz, eskimiş, kalitesiz onlarca eklentiyi bir sistemde aktive ederseniz; elbette ki sistemin yavaşlaması söz konusu olacaktır.

Aksi halde özel olarak yazılan bir PHP script ile bir WP temasının performans farkı ancak benchmark testleriyle farkedilebilir.

2) Wordpress güvenli mi?

Bana sürekli olarak gelen bir soru: Hype Sözlük güvenli mi?

Öncelikle, güvenlikten kasıtı bir sormak gerek. Günümüzde kullanılan ve bir siteyi mahvedebilecek saldırı türlerine bakalım:
Ön
XSS ve türevleri ( sterilize edilmeden ekrana basılan değişkenlerin bir sonucudur )
SQL Injection ve türevleri ( prepare edilmeden ve temizlenmeden kayıt edilmeye çalışılan user inputların sonucudur )
Çerez açıkları ve türevleri (PHPSESID) ( XSS ile bağlantılıdır. XSS ile doc. cookie çekilmeye çalışılır ve PHPSESID değeri ele geçirilir )

Bana gelen bu soruya her zaman verdiğim cevap şudur: Wordpress ne kadar güvenliyse, bu tema da o kadar güvenli.

Bu ne demek?

Ben temamı wordpress standartlarında; rakam değişkenlerini intval(), metinleri esc_attr ve sanitize_text_field() komutları ile korudum demektir. SQL'e kayıt edilen bilgileri $wpdb->prepare komutu ile güvene aldım demektir.

E peki wordpress'in kendisi güvenli mi?

Verilebilecek en doğru cevap: OLDUKÇA! Çünkü bu soruya kimse ama kimse evet tamamen güvenlidir diyemez. Ama şu söylenebilir: parasını verip yaptırabileceğiniz bir PHP script'den daha güvenlidir.

Sebebi: Onlarca yıldır geliştirilir ve açık kaynak kodludur. Yani kodlamayı herkes inceleyerek bir açığı WP ekibine iletebilir.

Peki her tema aynı güvenliğe mi sahip?
Hayır! Eğer ki $_POST değerini hiçbir temizleme yapmadan direkt olarak kayıt ediyorsa, bir metini temizlemeden veritabanına alıp, temizlemeden ekrana yazdırıyorsa; bu tema güvenli değildir. Hoş, aynı şekilde bu işlemlerin yapılmadığı herhangi bir sistem güvensizdir.


3) Wordpress ile sadece blog mu yapılır?

Elbette hayır! 2003 senesinde ilk çıktığında belki evet denirdi. Ancak, burada "sadece şunun için" diyebileceğiniz bir durum söz konusu değil. Hype Sözlük'ü WP'e yama olduğunu söyleyen ve satış konumu baltalamaya çalışan bazı rakiplerim oldu. Neresinden gülersiniz...

Wordpress sadece ön tanımlı fonksiyonları bulunan, ön tanımlı veritabanı tabloları bulunan bir PHP altyapıdır. Bakın PHP'dir. Bu demektir ki WP temel fonksiyonlarının yetmediği yerde dilediğiniz PHP kodu yazabilirsiniz! Yani tamamen özgürsünüz!

Yettiğini kadarını alıp, yetmediği yerde hayal gücünüzün dahilinde her siteyi WP ile yapabilirsiniz...

4) Wordpress fonksiyonları zamanla eskir yeğenim, yazılımcın bırakır bak temayı; kalırsın bir güncellemede dımdızlak!

Bu karşılaştığım en saçma önermeydi. İki cevap vermek istiyorum, hem doğru hem de yanlış.

Neden doğru?

Evet WP fonksiyonları zamanla eskir ve yerini yenileri alabilir. Ancak bir gecede cahil kaldık durumu yaşanmaz. Bu geçiş seneye yayılır.

Neden yanlış?

Şimdi bir dönüp sormak gerek, bu neden güncelleniyor. Bu fonksiyon neden gidiyor?
En büyük sebebi: PHP'nin de sürekli güncelleniyor olması! PHP 5'de çalışıp, PHP 7'de çalışmayan sayısız fonksiyon var. Değerini yitiren, yerine yenisi gelen ya da ismi değişen.

E şimdi ne yapalım? PHP güncelleniyor, o da eskiyor. O zaman hiçbir programlama dilini kullanmayalım. Böylece fonksiyonlar da eskiyemez!...
Bir sistem geliştikçe, eskime her daim söz konusudur. Bu WP, PHP, ASPNET farketmez...


Bu konuda içimi dökmek istedim. Çünkü çok can sıkıcı sorular almaya başladım uzun zamandır.

Sizin de bu konudaki görüşlerinizi duymak isterim, herkese iyi forumlar dilerim.

Daha bugün bir konuda yazmıştım burada da aynısını yazmak istiyorum. Onlarca yıldır milyonlarca insan tarafından kullanılan ve gelişmesine katkıda bulunulan bir sitem ile herhangi bir kişinin yazdığı bir scripti karşılaştırmak bile mantıksız. Şu sadece blog yapılır diyenler için ufak bir bilgi bakın wp altyapısını kimler kullanıyor;

• BBC America
• Bloomberg Professional
• Sony Music
• MTV News
• Beyonce
• Sweden’s Official Website
• Microsoft News Center
• Boingo
• Walt Disney
• Times
• The New York Times
• Marks & Spencer for Business
• The Walking Dead – AMC
• Katy Perry

daha uzar gider bu liste.. Ancak elbette şunu da unutmamak gerekir wp yada herhangi başka birşey elbette ancak kullanan kadar iyi ve etkili olabilir.

Wordpress candir. Themeforest adamdir

Adam akıllı ilgilendikten sonra gerisi teferruat.
Eski sözlük temasını aldığımda başka birisinden site hek yedi anasını satayım. Meğersem tema da açık varmış.
Hype sözlük temasını aldım alalı 4 kere güncelleme geldi, güvenlik bakımından gayet iyi.
Hem PHPHem asp
Hem wp sözlük teması var 😔

Güzel bir yazı olmuş, tebrik ederim.

Güvenlik açıkları Wordpress'in alt yapısından değil eklentilerden ve temalardan kaynaklanır. Yani eklenti ve tema yapımcılarının hatalarını Wordpress'e yıkmak doğru olmaz. Yıllardır Wordpress kullanırım bir kere olsun mahçup etmedi. Biraz daha araştırmanızı ve olaya geniş pencereden bakmanızı öneririm. Emeğinize sağlık.

Ben de konuyu okumanızı öneririm, aksi bir şey söylemedim çünkü.

Yaklaşık 6 senedir Wordpress kullanıyorum ama ticari anlam da hiç işlem yapmadım. Kullandığım süre boyunca hiç bir şekilde üzmedi. Şimdi normal bir kullanıcı olarak x bir firmaya gidip bana blog sitesi yap bilmem kaç bin TL yapana kadar yüzlerce insan tarafından geliştirilmiş bir sistem kullanmak daha mantıklıdır. Bu e-ticarete ve diğer sektörlere yeni atılanlar içinde çok idealdir. Bir siteye ne kadar iyi bakarsanız sorun yaşamassınız diye düşünüyorum. Gidip ***** tema kullanıp ***** eklenti kullanılınca yada eski sürümler sitenin göçmemesi için bir şey gelmez elden. Güzel yazı olmuş teşekkürler

Elinize sağlık.